Une nouvelle attaque de la chaîne d'approvisionnement NPM compromet des bibliothèques majeures d'ENS et de crypto.

Source : CryptoNewsNet Titre original : Une nouvelle attaque par la chaîne d'approvisionnement NPM compromet des bibliothèques majeures d'ENS et de crypto Lien original : Une importante attaque de la chaîne d'approvisionnement JavaScript a compromis des centaines de packages logiciels — y compris au moins 10 largement utilisés dans l'écosystème crypto — selon de nouvelles recherches de la société de cybersécurité Aikido Security.

Dans un post de lundi, Charlie Eriksen, un chercheur chez Aikido Security, a partagé les noms de plus de 400 paquets qui montrent des signes d'infection par le malware auto-réplicant “Shai Hulud” utilisé dans une attaque en cours sur la chaîne d'approvisionnement des bibliothèques NPM JavaScript. Eriksen a déclaré qu'il avait validé chaque détection pour éviter les faux positifs.

De nombreux packages liés aux cryptomonnaies reçoivent des dizaines de milliers de téléchargements par semaine et ont de nombreux autres packages qui les nécessitent pour fonctionner. Dans un post X publié plus tôt dans la journée, Eriksen a également averti l'équipe du Service de Nom Ethereum (ENS) que plusieurs de leurs packages sont affectés.

Shai Hulud fait partie d'une tendance plus large d'attaques sur la chaîne d'approvisionnement. Au début de septembre, la plus grande attaque NPM signalée à ce jour a vu des hackers ne voler que $50 millions de crypto. Amazon Web Services a noté que cette première attaque a été suivie par le ver Shai-Hulud se propageant de manière autonome juste une semaine plus tard.

Alors que l'attaque précédente ciblait directement les cryptomonnaies pour voler des actifs, Shai-Hulud est un malware généraliste de vol de credentials qui se propage de manière autonome à travers l'infrastructure des développeurs. Si l'environnement infecté contient des clés de portefeuille, le malware les volera comme des “secrets” comme tout autre credential.

Quels paquets crypto sont affectés ?

Parmi tous les paquets affectés, au moins 10 étaient spécifiquement liés à l'industrie des cryptomonnaies, et presque tous étaient liés à l'ENS, un service de nom d'adresse lisible par l'homme. Parmi les paquets affectés figurent le content-hash de l'ENS, avec presque 36 000 téléchargements hebdomadaires, et 91 paquets logiciels qui en dépendent, ainsi que address-encoder, avec plus de 37 500 téléchargements hebdomadaires.

D'autres packages ENS affectés incluent ensjs ( plus de 30,000 téléchargements hebdomadaires ), ens-validation ( 1,750 téléchargements hebdomadaires ), ethereum-ens ( 12,650 téléchargements hebdomadaires ), et ens-contracts ( près de 3,100 téléchargements hebdomadaires ). Un package lié à la cryptomonnaie non lié à ENS, appelé crypto-addr-codec, a également été compromis, avec presque 35,000 téléchargements.

Packages non crypto populaires affectés

Les packages non liés aux crypto-monnaies affectés incluent certains offerts par la plateforme d'automatisation d'entreprise Zapier, y compris un avec plus de 40 000 téléchargements par semaine et beaucoup d'autres pas très loin derrière. Dans un post ultérieur, Eriksen a souligné d'autres packages qui étaient infectés, certains avec près de 70 000 téléchargements hebdomadaires, et un autre package voyant bien plus de 1,5 million de téléchargements hebdomadaires.

“L'ampleur de cette nouvelle attaque de Shai Hulud est franchement massive; nous sommes encore en train de passer en revue la file d'attente pour tout confirmer,” a écrit Eriksen sur X.

“Cela fera paraître la précédente attaque comme rien.”

Des chercheurs de la société de cybersécurité Wiz affirment avoir “repéré plus de 25 000 dépôts affectés chez environ 350 utilisateurs uniques, 1 000 nouveaux dépôts étant ajoutés de manière constante toutes les 30 minutes au cours des dernières heures.” La société recommande une “enquête immédiate et une remédiation” pour tout environnement utilisant npm.